Monitorar alterações na configuração de federação em seu ID do Microsoft Entra
Ao federar seu ambiente local com o ID do Microsoft Entra, você estabelece uma relação de confiança entre o provedor de identidade local e o ID do Microsoft Entra.
Devido a essa confiança estabelecida, o ID do Microsoft Entra honra o token de segurança emitido pelo provedor de identidade local pós-autenticação, para conceder acesso a recursos protegidos pelo ID do Microsoft Entra.
Portanto, é fundamental que essa relação de confiança (configuração de federação) seja estritamente monitorada, e qualquer atividade incomum ou suspeita seja capturada.
Para monitorar a relação de confiança, recomendamos que você configure alertas para serem notificados quando forem feitas alterações na configuração de federação.
Configurar alertas para monitorar a relação de confiança
Siga estas etapas para configurar alertas para monitorar a relação de confiança:
- Configure os logs de auditoria do Microsoft Entra para fluir para um Espaço de Trabalho do Azure Log Analytics.
- Crie uma regra de alerta que seja acionada com base na consulta de log de ID do Microsoft Entra.
- Adicione um grupo de ações à regra de alerta que é notificado quando a condição de alerta é atendida.
Depois que o ambiente é configurado, os dados fluem da seguinte maneira:
Os logs do Microsoft Entra são preenchidos de acordo com a atividade no locatário.
As informações de log fluem para o workspace do Log Analytics do Azure.
Um trabalho em segundo plano do Azure Monitor executa a consulta de log com base na configuração da Regra de Alerta na etapa de configuração (2) acima.
AuditLogs | extend TargetResource = parse_json(TargetResources) | where ActivityDisplayName contains "Set federation settings on domain" or ActivityDisplayName contains "Set domain authentication" | project TimeGenerated, SourceSystem, TargetResource[0].displayName, AADTenantId, OperationName, InitiatedBy, Result, ActivityDisplayName, ActivityDateTime, TypeSe o resultado da consulta corresponder à lógica de alerta (ou seja, o número de resultados for maior que ou igual a 1), o grupo de ações será acionado. Vamos supor que ele seja iniciado, portanto, o fluxo continua na etapa 5.
A notificação é enviada ao grupo de ações selecionado durante a configuração do alerta.
Observação
Além de configurar alertas, recomendamos revisar periodicamente os domínios configurados em seu locatário do Microsoft Entra e remover quaisquer domínios obsoletos, não reconhecidos ou suspeitos.